大数据环境下,一些高校与校外企业任意对大学生个人信息加以处理与利用,这引发了信息安全的风险并侵害了大学生的人格利益。我国有必要借鉴美国与欧盟的经验,强化对大学生权益的保护,培养大学生的信息安全意识并加强对相关信息管理人员的监管,以此来应对风险,并彰显高校教育与管理工作所应有的人格关怀理念。
在大数据环境下,个人信息保护与隐私泄露等问题愈发凸显。这一矛盾的有效解决,将关系到我国信息社会的构建以及公民权益保护国策的实施。本文拟揭示大数据下大学生个人信息保护的特殊困境,并通过比较分析吸取国外的经验,进而提出相应对策,以期为我国信息法制的建设提供有益参考。
一、解读大学生的个人信息及其安全风险
(一)大学生个人信息的诠释
个人信息是指与特定个体相关的,并能反映该个体特征的数字和符号及其组合,其常见形态包括个人身份、工作单位、家庭地址、财产状况、健康记录等。在数字化校园建设的实践当中,大学生的个人信息还包括其学籍档案、奖惩记录、学籍信息以及消费偏好等。个人信息由于识别着大学生本人而与之不可分离,因此按照欧盟于2012年修订的个人数据保护指令第一章,该信息是大学生人格利益的重要载体。
在信息管理学的视野当中,大学生个人信息安全包括完整与真实性、隐秘性等要素,这些要素与大学生人格利益的实现休戚相关,这是因为,个人信息处于完整与真实状态从而免受公众不当评价,这是大学生人格尊严受保护的重要前提;同时个人信息处于隐秘状态且免遭不当泄露,这是大学生不被侵扰从而保持生活安宁与人格自由的必要条件[1]。
(二)大数据下信息的安全风险探因
大数据环境下,高校出于对大学生进行学籍管理、综合评价以及就业指导等目的,时常将能反映大学生个人信息通过收集、分类、归档加以处理,进而传输给校外用户(如用人单位)利用,信息安全风险由此而生,大学生的人格利益也遭受侵害,具体体现在两个方面。
一方面,高校以及校外用户时常利用其对于大学生在信息掌握以及谈判力量等方面的优势地位,任意篡改个人信息,这使得大学生所受到的社会评价失公,从而严重地侵害了他们的人格尊严利益。最典型的案例是,大学生的学籍档案信息被集体篡改与泄露,甚至部分作为信息利用者以及云平台营运者兼职员工的大学生也参与到了前述违法活动当中[2]。
另一方面,校外用户(尤其是向大学生提供产品与服务的企业)为片面提供经营绩效,时常在不事先征得大学生同意的情况下向高校获取个人信息。由于前述行为大多是以隐秘和高效的方式实施的,大学生对此很难知情并提出异议,这就使得信息的保密性面临威胁,他们的人格自由利益也遭受侵害。最典型的例子是英国银行将大学生个人信息加以窃取,并在互联网上公开销售[2]。
二、风险应对的比较法经验吸收
(一)比较法经验:以美国与欧洲为主
为应对大数据下的大学生个人信息安全风险,美国首先通过立法形式加强了对高校与校外用户的处理与利用信息行为的规制,以此来维护大学生的人格利益。奥巴马政府在2012年2月宣布推动《消费者隐私权利法案》的立法程序,这是与大数据最为息息相关的法案,法案中不仅明确且全面地规定了数据的最终权利属于以大学生为代表的信息主体,并规定了高校等信息管理者与用户在处理与利用信息时应当遵循的规则(譬如评估其行为对信息安全可能带来的潜在风险,并采取必要的技术与管理措施来防止风险)。与此同时,美国还通过加强学校对相关工作人员的管理以及对学生进行安全素养的培养等途径,来防止信息安全被破坏。卡尔加里大学就专门开设了培育大学生的信息安全意识的课程,教育大学生反对信息管理者与用户任意篡改与披露信息的。
类似于美国,欧盟也在前述个人数据保护指令的修正案中,强化了对大学生等主体的利益的保护。譬如根据该指令,大学生可以随时撤销其同意所在高校以及校外企业使用个人信息的意思表示;另外他们为了维护自身的尊严与自由等人格利益不受侵害,有权要求信息处理与利用信息的高校与用户采取适当的安全措施,其中包括消除信息传输的痕迹。欧盟委员会数据保护工作组要求成员国除了通过立法等强制手段约束高校与企业的行为外,还通过信息素养教育等方式,在培养大学生信息安全意识的同时,培育高校信息管理人员的信息道德,引导其改变为了提高信息处理效率而侵害大学生人格利益的不良偏好。
(二)美欧经验对我国的启示
近年来,我国为应对大学生个人信息安全风险,先后出台了若干法律规范。譬如,根据刑法第七修正案第七条,严重侵害公民(包括大学生)个人信息安全者应承担刑事责任;根据2014年最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定,高校与校外企业侵害大学生个人信息的,应当承担停止侵害、损害赔偿等民事责任;根据2013年修订的消费者权益保护法的相关规定,经营者侵害大学生消费者个人信息安全的,除了承担民事责任外,还将受到行政处罚。然而相对于美欧立法经验而言,我国的前述规范对于大数据下个人信息安全风险缺乏针对性。譬如根据我国现行法,对于大学生在网上冲浪所形成的信息痕迹,高校与校外用户可以任意处理与利用而不受制裁。由此我国有必要强化对大学生在个人信息上所享有的人格利益的保护,并有效应对风险。
与此同时,相关实证资料显示,近年来国内一些高校出于对个人信息安全以及大学生人格利益保护的重视,陆续开展了信息素养教育[4]。一些高校在开展信息素养教育时,将内容局限于向大学生传授关于信息查询和检索的初级知识,而很少涉及在信息管理与利用中他们所必备的安全意识、道德素养以及能力。由此我国有必要借鉴美国与欧美在开展相关教育工作中所取得的经验,从维护信息真实和完整性、隐秘性以及保护与此相关的大学生的人格利益的角度,完善信息素养教育工作,从而有效应对安全风险。
三、保障大学生个人信息安全的具体对策
(一)强化对大学生个人信息的保护,从而维护其尊严与自由等人格利益
立法者有必要按照个人信息安全不同要素的具体要求以及与它们相对应的尊严与自由等人格诉求,为大学生设定相应的保护措施,同时对高校与校外用户设定相应的义务与责任规则,具体体现在以下几个方面。
第一,为维护信息的真实性与完整性,大学生有权向所在高校查询信息是否真实与完整,同时请求高校以及校外用户通过采取技术措施与完善管理制度来维护信息安全,并对高校与用户任意篡改信息的行为提出异议。相应地,高校与校外用户应采取必要的手段,以确保大学生能对信息的管理与利用活动知情,从而为他们维护自身的权益提供方便。譬如高校可以在学校网页上提供privacy police链接,以便大学生在浏览网站时点击。
第二,防止因信息隐秘性被破坏而导致人格自由的利益遭到侵犯,大学生有权决定是否同意高校将信息传输给校外用户利用,同时要求高校与用户删除信息在收集、处理与传输中所留下的痕迹。为维护大学生的前述权益,高校应该在征得大学生同意的前提下再向用户提供信息。同时为了确保信息在利用中的安全,校外用户有义务评估信息安全可能面临的风险,并就潜在的或者已发生的风险向高校以及学生告知。
(二)培育大学生的信息安全意识,以此来引导其防止风险的发生
培育大学生个人信息的安全意识需要从两个方面入手:一方面,培养他们对安全风险的防范意识。大学生的个人信息基本上是通过手机、电脑、便携式工具如U盘等来储存。高校需要教育他们对于这类储存工具应当妥善保管,同时尽量避免在网上冲浪与网络社交中留下个人信息的痕迹。另一方面,培养他们对于已发生的风险的维权意识。高校有必要阻止学生参加有关个人信息保护的讲座,了解个人信息对于自身人格尊严与自由利益维护的重要性。在数字化校园的实践中,大学生对新技术、新知识的接受和学习能力较其他群体更强,并且在大数据的时代下,个人信息的共享和传播极其便利,这也要求大学生对其储存在手机和电脑等移动工具上的信息进行加密,或在受到侵害后通过停止侵害等法律手段来维护权利。
为了确保前述教育工作顺利开展,高校需要改变现有的主要由图书馆与档案馆等部门的管理人员对大学生进行学前教育的方式,通过如下措施优化师资条件:第一,通过组织信息管理人员集体培训与进修等方式提升他们的信息素养;第二,将从事信息科学与法学教育工作的优质教师吸纳进信息素养教育团队当中,从而为大学生的信息安全意识与维权意识教育提供可靠的师资保障。
(三)加强对高校与企业相关工作人员的监管,从而督促其维护信息安全
高校有必要加强对其信息管理部门(如档案馆、图书馆)的工作人员的信息道德教育,促使其在维护信息完整与真实性、隐秘性等安全要素的基础上进行信息的处理与传输,从而维护大学生的人格尊严与自由利益,并以此来彰显大数据时代高校教学与管理工作所应有的人文关怀理念。
与此同时在大数据时代,校外的个人信息用户多为从事电子商务等经营活动的企业。由此我国可以借鉴美国的经验,发挥这些企业所在的行业自律协会(如中国互联网金融行业协会、广东省现代信息服务行业协会)对其进行引导与监督,促使企业改变为了提高经营绩效任意破坏信息安全侵害大学生人格利益的偏好,引导其与大学生通过开展合作博弈的方式实现利益共赢。
作者:李仪 刁碧荣 来源:学理论·下 2016年10期